introducción seguridad de la informatica
TRANSCRIPT
Ing. Israel Pulido Picazo
Si te conoces a ti mismo y conoces
a tu enemigo, entonces no
deberás temer el resultado de mil
batallas
Sun-Tzu, El Arte de la Guerra
LA SEGURIDAD INFORMATICA ES UN
CAMINO, NO UN DESTINO”
Objetivo:
Mantener los sistemas generando resultados
Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas financieras (en el menos grave de los casos).
El resultado generado por un sistema es la INFORMACION que ALMACENA O
PRODUCE.
Triangulo CIA
INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD
Mitos de Seguridad
¿El sistema puede llegar al 100% de seguridad?
No hay nada en mi computadora que un hacker
pudiera querer
Solo los grandes servidores son objetivo de los
hackers
Linux es más seguro que Windows
Tengo un software antivirus y es todo lo que
necesito.
Se necesitan muchos conocimientos
tecnológicos para ser un hacker
Definiciones de seguridad
Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas.
Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente.
Proteger y Mantener los sistemas funcionando.
Control de Acceso
Conjunto de mecanismos para limitar, controlar y monitorear el sistema de acceso a ciertos items de información o a ciertos aspectos basados en una identidad de usuario y su pertenencia en varios grupos predefinidos.
Permite a los administradores de un sistema
ejercer una directriz o influencia de restricción sobre el comportamiento, uso y contenido de un sistema respecto a confidencialidad, integridad y disponibilidad.
Ejemplos de tipo de acceso
Control de acceso basado en roles
Usar un conjunto de permisos basados en el área laboral (Nomina, Finanzas, Recursos Humanos, etc.) A un usuario se le conceden acceso a
recursos Necesidad de asignar derechos individualmente a cada usuario en específico.
El control de acceso puede definirse basándose en: El tipo de cargo que desempeña un usuario.
Su rol en la empresa.
ROLES
INVOLUCRADOS
EN SEGURIDAD
USUARIOS
SEGURIDAD
Usuarios comunes
Los usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que pueden correr.
Son las principales víctimas.
También son el punto de entrada de muchos de los problemas crónicos.
“El eslabón más débil” en la cadena de seguridad.
Social Engineering Specialist:
Because There is no Security Patch for Humans
Enfoques de Control
Principio del Menor Privilegio Posible:
Reducir la capacidad de acción del usuario sobre los sistemas.
Objetivo: Lograr el menor daño posible en caso de incidentes.
Educar al Usuario:
Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad.
Objetivo: Reducir el número de incidentes
Actividad 1
Mesa de trabajo:
“El Usuario, el eslabón más débil en la cadena de Seguridad”
Desarrollar una exposición.
Pequeña investigación sobre el tema.
Comentarios sobre experiencias laborales o personales.
Dinámica
Cada miembro deberá presentar su exposición en un tiempo estimado de 7 minutos como máximo. (sin diapositivas)
Al final de cada exposición habrá una sesión de preguntas y respuestas.
Al final de las exposiciones se otorgara la palabra a aquellas personas que deseen aportar conclusiones generales o comentarios.
CREADORES DE
SISTEMAS
SEGURIDAD
Creando Software
El software moderno es muy complejo y
tiene una alta probabilidad de contener
vulnerabilidades de seguridad.
Un mal proceso de desarrollo genera
software de mala calidad. “Prefieren que
salga mal a que salga tarde”.
Usualmente no se enseña a incorporar
requisitos ni protocolos de seguridad en
los productos de Software.
Propiedades de la Información en
un “Trusted System” Confidencialidad: Asegurarse que la
información en un sistema de cómputo y la transmitida por un medio de comunicación, pueda ser leída SOLO por las personas autorizadas.
Autenticación: Asegurarse que el origen de un mensaje o documento electrónico esta correctamente identificado, con la seguridad que la entidad emisora o receptora no esta suplantada.
Autenticación
Autenticación de usuario consiste en que
un sistema verifique que uno es quien
dice ser.
Mecanismos de autenticación
Clasificación:
Basados en algo que se sabe (NIP)
Basados en algo que se tiene (Badge)
Basados en algo que se es (Biometría)
Autenticación de doble factor:
Combinación de 2 de los 3 anteriores.
Autenticación de triple factor:
Combinación de los 3 anteriores.
GERENTES
SEGURIDAD
“Si gastas más dinero en café que en
Seguridad Informática, entonces vas a
ser hackeado, es más, mereces ser
hackeado” Richard Clark, USA DoD
La mayoría de las empresas incorporan medidas de
seguridad, hasta que han tenido graves
problemas.
¿Para que esperarse?
Razones para atacar la red de
una empresa:
Dinero, ventaja económica, ventaja
competitiva, espionaje político, espionaje industrial, sabotaje,…
Otras Razones
¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad? Costos económicos (perder oportunidades de
negocio).
Costos de recuperación.
Costos de reparación.
Costos de tiempo.
Costos legales y judiciales.
Costos de imagen.
Costos de confianza de clientes.
Perdidas humanas (cuando sea el caso).
Recomendaciones
Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad.
Las políticas y mecanismos de seguridad deben de exigirse para toda la empresa.
Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente)
HACKER
CRACKER
SEGURIDAD
Los ataques son cada vez mas complejos.
Cada vez se requieren menos
conocimientos para iniciar un ataque.
¿Por qué alguien querría introducirse en
mis sistemas?
¿Por qué no? Si es tan fácil: descuidos,
desconocimiento, negligencias,
(factores humanos).
Tipos de atacantes
Script kiddies: No saben nada acerca de redes y/o protocolos pero saben manejar herramientas de ataque creadas por otros. Por lo general no siguen una estrategia muy silenciosa de ataques.
Hackers medium: Personas que saben acerca de redes, protocolos, S.O. y aplicaciones pero que no crean sus propias herramientas, sino que utilizan las desarrolladas por otros.
Hackers: Personas que además de conocer de redes, protocolos, S.O. y aplicaciones, desarrollan sus propias herramientas.
Cualquiera conectado a la red es una
víctima potencial, sin importar a que se
dedique, debido a que muchos
atacantes sólo quieren probar que
pueden hacer un hack por diversión.
Quiz Pregunta No. 1: Cuáles son los 3 principios básicos de la
Seguridad informática?
a) Confidencialidad, Integridad y Accesibilidad.
b) Integridad, Confidencialidad y Disponibilidad.
c) Privacidad, Disponibilidad e Integridad
Pregunta No. 2: Cuáles son los 3 mecanismos de autenticación que existen?
a) Basados en algo que se: sabe, tiene y mide.
b) Basados en algo que se: encuentra, es y tiene.
c) Basados en algo que se: sabe, tiene y es.
a) Menciona dos mitos respecto a la seguridad de la Información
Algunos Hackers Jonathan James
El primer adolescente que era enviado a prisión acusado de Hacking
instaló un backdoor en un servidor de la Agencia de Reducción de Amenazas de la Defensa (Defense Threat Reduction Agency – DRTA)
Crackeó las computadoras de la NASA robando software por un valor aproximado de $ 1.7 millones.
Hoy, James afirma que aprendió su lección y puede ser que comience una compañía de seguridad de computadoras.
Adrian Lamo Usó conexiones como Kinko (Internet cafés), tiendas café y librerías para hacer sus
intrusiones
Sus intrusiones “pruebas de penetración”, en las que encuentra defectos de seguridad, los explota y luego envía un informe a las compañías de sus vulnerabilidades, sus logros incluyen Yahoo!, Bank of America, Citigroup y Cingular.
Por su intrusión al New York Times, Lamo fue obligado a pagar $65 mil de reparación
Lamo está actualmente trabajando como un periodista galardonado y locutor público.
Kevin Mitnick
Él empezó explotando el sistema de tarjeta perforada de los autobuses de Los Angeles para conseguir paseos libres
Encontró la forma de no ser localizado y poder deambular de un sitio a otro a través de la telefonía móvil.
A través de sus refinadas y exitosas técnicas de ingeniería social, logra hacerse con la clave del ordenador personal de Tsutomu Shimomura
White hat´s hackers
Stephen Wozniak
Tim Berners-Lee
Linus Torvalds
La seguridad involucra 3 dimensiones
Procesos
Infraestructura
Gente
Amenaza
Circunstancia o evento que puede causar
daño violando la confidencialidad,
integridad o disponibilidad
Frecuentemente aprovecha una
vulnerabilidad
Vulnerabilidad
Ausencia de una contramedida, o debilidad de la misma, de un sistema informático que permite que sus propiedades de sistema seguro sean violadas.
Condición que tiene potencial para permitir que ocurra
una amenaza, con mayor frecuencia e impacto. La debilidad puede originarse en el diseño, la
implementación o en los procedimientos para operar y administrar el sistema.
En el argot de la seguridad computacional una
vulnerabilidad también es conocida como un hoyo.
Riesgo
El potencial para perdida o falla, como respuesta a las siguientes preguntas:
¿Qué podría pasar (o cual es la amenaza)? ¿Qué tan malo puede ser (impacto
consecuencia)? ¿Qué tan frecuente puede ocurrir
(frecuencia)? ¿Qué tanta certidumbre se tiene en las
primeras 3 respuestas (grado de confianza)?
Si no hay incertidumbre, no hay un riesgo.
El exploit
Se refiere a la forma de explotar una vulnerabilidad Termino muy enfocado a herramientas de
ataque, sobre equipos de computo).
Aprovechamiento automático de una vulnerabilidad Generalmente en forma de un
programa/software que realiza de forma automática un ataque aprovechándose de una vulnerabilidad
Ataque informático
Es la consumación de una amenaza
No es un ataque físico (aunque puede ser).
Un ataque no se realiza en un solo paso.
Depende de los objetivos del atacante.
Puede consistir de varios pasos antes de llegar a su objetivo.
Tipos ataques
Suplantación de identidad. Intruso se hace pasar por una entidad diferente,
normalmente incluye alguna de las otras formas de ataque activo.
Reactuación. Uno o varios mensajes legítimos son capturados y
repetidos para producir un efecto no deseado, Modificación de mensajes. Una porción del mensaje legítimo es alterada, o los
mensajes son retardados o reordenados, Degradación del servicio. Impide o inhibe el uso normal o la gestión de
recursos informáticos y de comunicaciones.
Ejemplos Ataques
Denial of Service (DoS): Anulación de un servicio o acceso a éste mediante técnicas de inundación de paquetes o aprovechamiento de debilidades en las aplicaciones y protocolos. Ejem: Ping of Death.
Spoofing: Falseamiento de la dirección origen en una sesión: Ips, Mac Address.
Keyloggers: Aplicaciones que registran el tecleado efectuado por un usuario.?
Virus: Aplicación diseñada para propagarse de un sistema a otro.
Ejemplos Ataques
Gusanos: Aplicación de características similares a un virus con la particularidad de que es capaz de propagarse por sí mismo.?Troyanos: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas diseñadas para sobrepasar los sistemas de seguridad.
Sniffers: Proceso de escucha y captura de tráfico de un segmento de red en manera no autorizada. Ethereal
Ejemplos Ataques
Spamming: Bombardeo indiscriminado de e-mails hacia un objetivo desde un servidor de correos que no realiza autenticación de usuarios antes de aceptar el envío de los mismos.
Ingeniería Social: Proceso de vulnerar la confianza y buena fe de las personas para obtener información de ellas por medio de la persuasión y obtención amigable de información.
Ejemplos Ataques
MAC Address Flooding Storms?Objetivo: Anular la principal funcionalidad del switch: la segmentación. ¿Gracias a herramientas de software (Macof) se inunda de tramas al switch a nivel de direcciones MAC.? Cuando la tabla MAC del switch se llena, dejará de actuar como tal y se convertirá en un hub.
La mejor forma de detener este tipo de ataques es limitar el número de direcciones MAC por puerto del switch.
Ejemplos Ataques
ARP Poisoning Attack
Herramientas: Caín y Abel,
WinARPSpoofer
Solución: No tiene
Prevención: WinARPWatch
Ejemplos Ataques
Man-in-the-middle: Ubicación de un
usuario o programa en medio de una
sesión tomando control de ésta y
haciéndoles creer a los usuarios que
ellos están conectados directamente
con los recursos y/o servicios.
Ataques contra el flujo de la
información
FLUJO NORMAL Los mensajes en una red se envían a partir de un
emisor a uno o varios receptores
El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.
Emisor Receptor
Atacante
INTERRUPCION El mensaje no puede llegar a su destino, un recurso del
sistema es destruido o temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.
Emisor Receptor
Atacante
INTERCEPCION Una persona, computadora o programa sin autorización
logra el acceso a un recurso controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios.
Emisor Receptor
Atacante
MODIFICACION La persona sin autorización, además de lograr el
acceso, modifica el mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.
Emisor Receptor
Atacante
FABRICACION Una persona sin autorización inserta objetos falsos en
el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc...
Emisor Receptor
Atacante
Defensa
Firewall´s
Dispositivos que controlan el tráfico..
Al incrementarse el tráfico, el ruteador
dejó de ser eficiente en esta función y
se prefirió dejarla a otro equipo:
Firewall.
Tipos de Firewalls:
Packet Filtering
Trabaja principalmente en la capa 3 de OSI y
en menor grado en la capa 4.
Son implementados dentro del ruteador y
trabajan con listas de control de acceso
(Access Control Lists).
Application level Firewalls
Firewall que utiliza un software proxy.
Transfiere una copia de cada paquete de
datos aceptado en la red a otra
enmascarando el origen del dato.
Statefull Inspection Firewalls
Paquetes son capturados por un motor de
inspección que está operando a la
velocidad de la red.
Paquetes son encolados y analizados en
todos los niveles OSI.
Conocido como Firewall de 3ra
generación.
Arquitecturas de Firewall
Screened-Host Firewall Systems
Dual-homed host Firewalls
Screened-subnet Firewall con DMZ
Software de Firewall
Firestarter
Shorewall
UFW
IDS
La detección de intrusos es una de las actividades claves del especialista de seguridad.
A través de ella se puede determinar si existen actividades hostiles o no en la organización.
IDS: Intrusion Detection System
IPS: Intrusion Prevention System
IDP: Intrusion Detection & Prevention
El IDS es como un sniffer, escucha y envía
alertas de acuerdo a lo configurado.? El
IPS en cambio detecta algo actividad
anómala y la bloquea.
Tipos de IDS
Network-Based IDS (Nids) Monitorean el tráfico del segmento de red donde son
instalados
Pros Invisibles a los atacantes: La NIC de monitoreo no
tiene dirección lógica.
Reconocen ataques de fragmentación y escaneos.
Contras Pueden perder paquetes por sobrecarga.
Pueden reensamblar mal los paquetes.
No informan si un ataque ha sido exitoso o no.
No monitorean datos encriptados.
Host-Based IDS (Hids)
Programas que se instalan en el servidor o host y monitorean al sistema operativo constantemente.
Pros
Pueden trabajar con tráfico de red encriptado.
No afectado por la red.
Contras
Captura específica al sistema monitoreado.
Susceptibles a ataques de DoS.
Afecta performance del host donde está instalado.
Software IDS
SNORT